OpenSSL Versionen von 3.x bis 3.0.6 (früher als 3.0.7) sind anfällig für eine schwerwiegende Sicherheitslücke, die zu einem Absturz oder unerwartetem Verhalten führen kann.

OpenSSL hat ein Advisory veröffentlicht, das unter https://www.openssl.org/news/secadv/20221101.txt zu finden ist.

Supermicro firmware and software products are not affected by either CVE-2022-3786 or CVE-2022-3602 since Supermicro products use OpenSSL versions 1.0.x - 1.1.1.

Weitere Informationen:

Ein Angreifer kann eine bösartige E-Mail-Adresse so gestalten, dass eine beliebige Anzahl von Bytes, die das Zeichen `.` (dezimal 46) enthalten, auf dem Stack überläuft. Dieser Pufferüberlauf könnte zu einem Absturz führen (was eine Dienstverweigerung zur Folge hätte).

Ein Pufferüberlauf kann bei der Überprüfung von X.509-Zertifikaten ausgelöst werden, insbesondere bei der Überprüfung von Namensbeschränkungen. Ein Angreifer kann eine bösartige E-Mail-Adresse so gestalten, dass vier vom Angreifer kontrollierte Bytes auf dem Stack überlaufen. Dieser Pufferüberlauf kann zu einem Absturz (und damit zu einer Dienstverweigerung) oder möglicherweise zu einer Remotecodeausführung führen.